Amazon Inspector의 위임된 관리자 계정 및 멤버 계정 이해 - Amazon Inspector –
조직 정책 거버넌스 모델위임 관리자 작업멤버 계정 작업

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector의 위임된 관리자 계정 및 멤버 계정 이해

Amazon Inspector를 다중 계정 환경에서 사용하는 경우 위임된 관리자 계정으로 특정 메타데이터에 액세스할 수 있습니다. 메타데이터에는 Amazon EC2, Amazon ECR 및 Lambda에 대한 표준 스캔과 Lambda 코드 스캔이 포함됩니다. 또한 멤버 계정에 대한 보안 조사 결과도 포함됩니다. 이 단원에서는 위임된 관리자 계정이 수행할 수 있는 작업과 멤버 계정이 수행할 수 있는 작업에 대한 정보를 제공합니다.

조직 정책 거버넌스 모델

AWS Organizations 정책을 사용하여 Amazon Inspector를 활성화하면 허용되는 작업을 결정하는 거버넌스 모델이 적용됩니다.

정책 관리형 리소스

조직 정책에 의해 명시적으로 활성화 또는 비활성화된 리소스는 위임된 관리자 또는 멤버 계정에서 수정할 수 없습니다. 정책 관리형 스캔 유형을 활성화하거나 비활성화하기 위한 API 요청은 리소스가 조직 정책에 의해 관리됨을 나타내는 명확한 오류와 함께 실패합니다.

Non-policy-managed 리소스

조직 정책에 지정되지 않은 리소스는 위임된 관리자 및 멤버 계정에서 Amazon Inspector 콘솔 또는 API를 사용하여 정상적으로 관리할 수 있습니다.

스캔 구성 관리

위임된 관리자는 리소스 유형이 정책 관리형인지 여부에 관계없이 EC2 스캔 모드, 심층 검사 경로 및 ECR 재스캔 기간과 같은 스캔 설정을 항상 구성할 수 있습니다. 조직 정책은 스캔이 활성화되었는지 여부만 제어하고 작동 방식은 제어하지 않습니다.

Amazon Inspector 조직 정책 생성 및 관리에 대한 자세한 내용은 Amazon Inspector 정책 AWS Organizations 설명서를 참조하세요.

위임 관리자 작업

일반적으로 위임된 관리자가 자신의 계정에 설정을 적용하면 해당 설정이 조직의 다른 모든 계정에 적용됩니다. 또한 위임 관리자는 자신의 계정 및 연결된 멤버의 정보를 보고 검색할 수 있습니다. Amazon Inspector 위임 관리자 계정은 다음 작업을 수행할 수 있습니다.

  • AWS Organizations 관리 계정만 위임된 관리자를 지정하고 제거할 수 있습니다.

  • 위임된 관리자를 지정할 때는 관리하려는 멤버 계정과 동일한 조직에 있어야 합니다.

  • Amazon Inspector 활성화 및 비활성화를 포함하여 관련 계정의 Amazon Inspector 상태를 확인하고 관리합니다.

  • 조직 내 모든 멤버 계정의 스캔 유형을 활성화하거나 비활성화합니다.

  • 조직 전체에서 집계된 조사 결과 데이터와 조직 내 모든 멤버 계정에 대한 결과 세부 정보를 확인합니다.

  • 조직 내 모든 계정의 조사 결과에 적용될 억제 규칙을 생성하고 관리합니다.

  • 조직의 모든 멤버에 대해 Amazon ECR 고급 스캔을 활성화합니다.

  • 전체 조직의 리소스 적용 범위를 확인합니다.

  • 조직 내 모든 멤버 계정에 대해 ECR 컨테이너 이미지 자동 재스캔 기간을 정의합니다. 위임 관리자의 스캔 기간 설정이 이전에 멤버 계정이 설정한 모든 설정보다 우선합니다. 조직의 모든 계정은 위임된 관리자의 Amazon ECR 자동 재스캔 기간을 공유합니다. 계정마다 다른 재스캔 기간을 설정할 수 없습니다.

  • Amazon EC2용 Amazon Inspector 심층 검사에 대해 조직의 모든 계정에서 사용할 5개의 사용자 지정 경로를 지정합니다. 이는 위임 관리자가 개별 계정에 대해 설정할 수 있는 5개의 사용자 지정 경로에 추가하여 지정하는 것입니다. 심층 검사 사용자 지정 경로 구성에 대한 자세한 내용은 Amazon Inspector 심층 검사를 위한 사용자 지정 경로 단원을 참조하세요.

  • 멤버 계정에 대한 Amazon Inspector 심층 검사를 활성화 및 비활성화합니다.

  • 조직 내 모든 멤버 계정의 SBOM을 내보냅니다.

  • 조직의 모든 멤버 계정에 Amazon EC2 스캔 모드를 설정합니다. 자세한 내용은 스캔 모드 관리 단원을 참조하십시오.

  • 멤버 계정에서 생성한 스캔 구성을 제외하고 조직의 모든 계정에 대해 CIS 스캔 구성을 생성하고 관리합니다.

    참고

    멤버 계정이 조직에서 탈퇴하면 위임된 관리자는 더 이상 해당 계정에서 예약한 스캔 구성을 볼 수 없게 됩니다.

  • 조직의 모든 계정에 대한 CIS 스캔 결과를 확인합니다.

  • 조직 정책을 사용하는 경우 정책 관리형 리소스에 대한 스캔 설정을 구성하지만 정책 관리형 스캔 유형 자체를 활성화하거나 비활성화할 수는 없습니다.

멤버 계정 작업

멤버 계정은 Amazon Inspector에서 자신의 계정에 대한 정보를 보고 검색할 수 있지만, 계정 설정은 위임된 관리자가 관리합니다. 조직 내 멤버 계정은 Amazon Inspector에서 다음 작업을 수행할 수 있습니다.

  • 본인 계정에 대해 Amazon Inspector를 활성화합니다.

  • 본인 계정에 대한 리소스 적용 범위를 확인합니다.

  • 본인 계정에 대한 조사 결과 세부 정보를 확인합니다.

  • 본인 계정에 대한 ECR 컨테이너 이미지 자동 재스캔 기간 설정을 확인합니다.

  • Amazon Inspector의 EC2 심층 검사를 위해 개별 계정에 사용할 5개의 사용자 지정 경로를 지정합니다. 이 경로는 위임된 관리자가 조직에 대해 지정한 사용자 지정 경로에 추가하여 스캔됩니다. 심층 검사 경로 구성에 대한 자세한 내용은 Amazon Inspector 심층 검사를 위한 사용자 지정 경로 단원을 참조하세요.

  • Amazon Inspector 심층 검사를 위해 위임된 관리자가 설정한 사용자 지정 경로를 확인합니다.

  • 자신의 계정과 연결된 리소스의 SBOM을 내보냅니다.

  • 자신의 계정의 스캔 모드를 확인합니다.

  • 자신의 계정에 대한 CIS 스캔 구성을 생성하고 관리합니다.

  • 위임된 관리자가 예약한 리소스를 포함하여 계정의 리소스에 대한 CIS 스캔 결과를 확인합니다.

  • 조직 정책에서 관리하지 않는 스캔 유형을 활성화합니다. 정책 관리형 스캔 유형은 멤버 계정에서 활성화하거나 비활성화할 수 없습니다.

참고

Amazon Inspector는 활성화 후 위임 관리자 계정을 통해서만 비활성화할 수 있습니다.